Primero vamos hablar de certificado autofirmado (Self Signed Certificate) y como funciona eso con ayuda de experto de pruebas de penetración. Un hash del certificado se hace, cifrado con la clave privada, y luego anexado al certificado para crear un nuevo certificado. El servidor envía este nuevo certificado a los clientes que se conectan. Para verificar el certificado, el cliente descifra el hash con la clave pública del certificado, luego calcula su propio hash y los compara, si son iguales el certificado es válido explica experto de empresa de seguridad informática. A continuación, envía al servidor un mensaje cifrado con la clave pública proporcionada, si el servidor envía el mensaje no cifrado original de nuevo, a continuación, se considera autenticado. Este proceso asegura que la clave pública proporcionada corresponde a la clave privada utilizada para cifrar el hash. El servidor tiene acceso a la clave privada. El hash cifrado creado anexado al certificado se llama una firma digital. Menciona Dave Smith especialista de seguridad informática en México que en este ejemplo, el servidor ha firmado digitalmente su propio certificado, esto se llama un certificado autofirmado(Self Signed Certificate).
Si un atacante logra interceptar las comunicaciones o desviar el tráfico, se puede sustituir la clave pública en el certificado con su propia, vuelva a realizar la firma digital con su propia clave privada, y se manda eso al cliente. Eso debe probar durante pruebas de penetración.
El problema es que toda la información necesaria para la verificación es proporcionada por el servidor. Es por ello que cuando se conecta a una entidad con un auto firmado certificado, navegador dará una advertencia, no poden asegurar que todo el que se está comunicando con él es quien dice ser.
Sin embargo, este tipo de certificados son realmente útiles en algunos escenarios. Pueden ser creados de forma gratuita, rápida y con poca molestia. Por lo tanto son buenos para algunas comunicaciones internas y la creación de prototipos. Sin embargo, este tipo de certificados son realmente útiles en algunos escenarios dice experto de empresa de seguridad informática. Pueden ser creados de forma gratuita, rápida y con poca molestia. Por lo tanto son buenos para algunas comunicaciones internas.
¿Cómo podemos solucionar este problema y detectar ese problema durante auditoría de pruebas de penetración? Bueno, ya que el problema es que el servidor proporciona toda la información para autenticar el certificado, ¿por qué no nos movemos un poco de esa información al cliente?
Explica especialista de seguridad informática en México que deja que se centramos más en el cliente con una copia del certificado en una unidad USB, y almacenarlo directamente en el cliente esto se llama Out of band proceso. Ahorita, cuando el servidor envía su certificado:
El cliente genera su propio hash del certificado y descifra el hash proporcionado con la clave pública de la copia del certificado que se proporcionó anteriormente en la unidad USB, de esta manera se asegura de que: 1. el certificado no ha cambiado, 2. quien firmo tiene la clave privada correcta.
A continuación, envía al servidor un mensaje aleatorio cifrado con la clave pública en la copia del certificado que se almacenó antes, si el servidor devuelve el mensaje sin cifrar original, consideramos que es autenticado. Si alguien intercepta o desvía la conexión, no tiene ninguna esperanza de entregar nuestro mensaje original y proporcionar un certificado válido, sin la clave privada.
Ahora bien, esta solución en realidad autentica, ya veces se utiliza para las comunicaciones internas. Sin embargo, no es muy práctico para varios casos de uso. Sería mucho trabajo tener que descargar un certificado cada vez que necesite acceder a un nuevo sitio web seguro, como un banco o eshop, o peor, esperando que alguien entregue su certificado con una unidad USB menciona experto de seguridad informática en México.
Por otra parte, usted tiene que asegurarse de que el certificado no es manipulado en el camino, que es uno de los problemas TLS debe resolver para nosotros en primer lugar. También está el problema de qué hacer cuando el certificado vence, o cómo va a revocarlo. Para resolver ese problema usamos firmas de CA (Certification Authority) que vamos a hablar en próximo artículo con ayuda de especialista de proveedor y empresa de seguridad informática.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
